La CNIL se prononce au sujet du « cloud computing »

Marion Depadt-Bels, Avocat associé, Cabinet Gramond & Associés

Marion Depadt-Bels, Avocat associé, Cabinet Gramond & Associés

Le cloud computing représente, pour les entreprises, notamment les PME, une évolution majeure de leurs services informatiques. La Cnil les accompagne, en leur proposant des recommandations pratiques.

Le cloud computing met en exergue les problématiques liées à la gestion des données personnelles lors d’opérations d’externalisation, en particulier lorsque les données ont vocation à être traitées dans des pays situés en dehors de l’Espace économique européen (EEE), ou n’offrant pas un niveau de protection suffisant, comme cela est le cas, notamment, aux États-Unis, au Maroc ou en Inde. C’est donc en toute logique que la Cnil (Commission nationale de l’informatique et des libertés) s’est penchée sur le sujet.
Mais la Cnil, loin de se limiter à une analyse purement théorique de la situation, a émis des recommandations 1 qui visent à encadrer et sécuriser le recours aux services de cloud. A ces utilisateurs, la Commission recommande d’identifier les données et les traitements qui passeront dans le cloud, de procéder à une analyse de risque préalablement au choix du prestataire, de s’assurer que la proposition du prestataire apporte une réponse satisfaisante à ces risques et, si ce n’est pas le cas, de mitiger ces risques par le biais des dispositions contractuelles. Parmi les principaux risques identifiés par la Cnil figurent la dépendance technologique, les failles dans l’isolation des données ou dans la chaîne de sous-traitance, les mécanismes d’authentification des employés ou encore la non-conformité réglementaire, en particulier en matière de transferts internationaux.

La France alignée sur les positions du G29 européenLa CNIL se prononce au sujet du « cloud computing »
A l’attention des signataires d’un contrat de cloud computing, la Cnil liste les éléments essentiels devant figurer dans le contrat et fournit des modèles de clauses de nature à répondre à ces exigences et à sécuriser le recours au cloud. Il incombe dès lors aux contractants de s’assurer que le contrat traite l’ensemble de ces éléments, parmi lesquels figurent les garanties devant être mises en œuvre, notamment en matière de sécurité et de confidentialité, ainsi que les rôles et responsabilités des parties en termes de protection des données personnelles.

Notons enfin que ces recommandations de la Cnil sont complètement alignées avec les positions du G29, groupe de travail européen qui, dans son « opinion » sur le cloud computing 2, insiste sur la nécessité, pour l’utilisateur de services de cloud, de choisir un fournisseur qui apporte des garanties fortes en termes de conformité avec les réglementations applicables.

 

1. Recommandations de la Cnil en date du 25 juin 2012, accessibles sur le site www.cnil.fr
2. Opinion 05/2012 sur le cloud computing, adoptée le 1er juillet 2012.

Cet article est extrait du n°2 d’Alliancy le mag – Découvrir l’intégralité du magazine